Хакер #305. Многошаговые SQL-инъекции
В апреле 2018 года Microsoft устранила более 60 уязвимостей в своих продуктах, включая Windows, Internet Explorer, Edge, ChakraCore, Microsoft Office и Microsoft Office Services. Также в пакет обновлений вошел ранее вышедший вне графика патч для опасной проблемы в Microsoft Malware Protection Engine (MMPE).
В этом месяце среди исправленных багов была лишь одна 0-day уязвимость: CVE-2018-1034. Брешь позволяла повысить привилегии в SharePoint при помощи специально созданного веб-запроса, в результате чего злоумышленник способен запустить скрипт с привилегиями текущего пользователя. Стоит сказать, что детали проблемы были обнародованы еще до выхода «заплатки», но специалисты Microsoft утверждают, что злоумышленники уязвимость пока не использовали.
Также, говоря о серьезных уязвимостях, стоит упомянуть сразу пять багов в Windows Graphics Component, опасные для Windows 10, 8.1, RT 8.1 и 7, а также Windows Server 2008, 2012 и 2016. Эти уязвимости допускают удаленное выполнение произвольного кода. Проблемам были присвоены следующие номера: CVE-2018-1010, CVE-2018-1012, CVE-2018-1013, CVE-2018-1015, CVE-2018-1016. Каждая из этих уязвимостей может быть эксплуатирована путем создания специального вредоносного шрифта, который атакующему понадобится просто разместить, например, на своем сайте. Эксперты предупреждают, что уязвимости могут быть использованы как для выполнения кода злоумышленников, так и для DoS-атак. ИБ-специалисты объясняют, что векторы атак могут быть самыми разными, ведь пользователи имеют дело со шрифтами постоянно, во время браузинга, работы с документами и так далее.
Кроме того, был исправлен целый ряд проблем, связанных с работой скриптовых движков в браузерах Edge и Internet Explorer. Суммарно в браузерах набрался десяток уязвимостей, допускающих исполнение произвольного кода или провоцирующих нарушение целостности информации в оперативной памяти. Помимо этого в IE были устранены еще четыре аналогичные проблемы, затрагивавшие только этот браузер: CVE-2018-0870, CVE-2018-0991, CVE-2018-1018, CVE-2018-1020 .
Не остался без патчей и Office. Здесь были исправлены RCE-уязвимости в составе VBScript (CVE-2018-1004) и Excel (CVE-2018-0920), а также утечка информации, связанная с обработкой файлов .RTF (CVE-2018-0950).
Более того, в этом месяце в состав «вторника обновлений» вошел и «железный» патч, адресованный клавиатурам Wireless Keyboard 850 (CVE-2018-8117). Обнаруженная в гаджетах проблема позволяла обмануть механизмы безопасности, повторно использовать ключ AES-шифрования, а после перехватывать все нажатия клавиш или же сообщать устройству виртуальные нажатия, таким образом передавая компьютеру произвольные команды.
Нужно отметить, что в состав пакета исправлений Microsoft вошли и некоторые патчи, выпущенные на этой неделе разработчиками компании Adobe. В апреле Adobe исправила 19 багов в таких продуктах, как Adobe Flash Player, Adobe Experience Manager, Adobe InDesign, Adobe Digital Editions и плагине Adobe PhoneGap Push. В многострадальном Flash Player на этот раз нашли и устранили сразу шесть критических и важных проблем, патчи для которых распространяет, в том числе, и Microsoft.